微软近日发布安全报告指出，自今年2 月以来，一种透过USB 随身碟传播的新型恶意程序已开始感染Windows 电脑，专门锁定比特币及以太坊等加密货币钱包。

伪装成捷径档案，用户一点击就中招

微软将其归类为「Crypto Clipper」，并在Defender 防毒系统中标记为「Trojan:Win32/CryptoBandits」。这类恶意程式不仅能窃取助记词与私钥，还会在用户转帐时偷偷替换收款地址，甚至透过USB 装置自我复制、持续扩散。

根据微软说明，攻击通常始于一支遭感染的USB 随身碟。

其中包含一个伪装成正常档案的Windows 捷径档（副档名为.lnk）。当使用者插入随身碟并点击该档案后，蠕虫病毒便会悄悄安装到电脑中。感染后，病毒会在背景持续执行，同时等待新的干净USB 装置接入，以便进一步扩散。

这套恶意程式会每隔约500 毫秒监控一次Windows 剪贴簿。当使用者复制比特币或以太坊钱包的助记词（Seed Phrase）或私钥时，病毒会立即撷取资料，并透过Tor 匿名网路传送到骇客控制的伺服器。

除了文字资讯外，病毒还会每隔10 秒截图一次，连续拍摄五张萤幕画面，一并回传给攻击者，以取得更多敏感资讯。

微软指出，更令人警惕的是其「剪贴簿劫持（Clipper）」功能。当使用者复制收款地址准备转帐时，病毒会在背景悄悄将地址替换成骇客控制的钱包地址。

由于地址长度相似且过程完全没有任何提示，使用者若未仔细核对，很可能在不知情的情况下，将资产直接转入骇客帐户。

会感染新的USB，连Word、Excel 档案都遭伪装

除了窃取资产外，这种蠕虫还具有自我传播能力。

当新的USB 随身碟插入受感染电脑时，病毒会扫描其中的Word、Excel、PDF 等常见文件，然后将原本档案隐藏，并建立同名的.lnk 捷径档。

使用者误以为打开的是原始文件，实际上却会触发病毒感染，使整支USB 成为新的传播媒介，形成循环扩散。

微软提供多项防护建议

为降低感染风险，微软建议Windows 用户采取以下措施：

• 关闭可移除装置的AutoRun（自动执行）功能；
• 透过群组原则（Group Policy）禁止USB 装置中的.lnk 捷径档执行；
• 限制wscript.exe 与cscript.exe 等脚本执行工具；
• 使用Microsoft Defender 的企业客户，可透过威胁猎捕功能（Hunting Queries）检查是否存在可疑行为，例如连接本地Tor 代理的9050 埠。

此外，微软也公布了多项入侵指标，包括恶意档案杂凑值（Hash）以及骇客用来控制受害电脑的.onion 网域，供企业资安团队进行检测。

瞄准加密货币用户，离线备份也可能成为破口

由于许多加密货币投资人习惯利用USB 随身碟保存钱包备份、私钥或助记词，这类透过实体装置传播的蠕虫病毒格外危险。

即使电脑未直接连接网路，只要曾插入遭感染的USB，仍可能导致敏感资讯外泄，甚至在转帐时遭到地址劫持。

微软提醒，用户在进行加密资产转帐时，务必逐字确认收款地址，并避免随意开启来源不明的USB 档案，以降低资产遭窃风险。

本文链接地址：https://www.wwsww.cn/hqfx/39553.html
郑重声明：本文版权归原作者所有，转载文章仅为传播更多信息之目的，如作者信息标记有误，请第一时间联系我们修改或删除，多谢。